Upgrade to Pro — share decks privately, control downloads, hide ads and more …

10分で「知る」ペンテストの世界

Avatar for r00tapple r00tapple
May 07, 2025
0
0

 10分で「知る」ペンテストの世界

PentestSEcJP Ver1

Avatar for r00tapple

r00tapple

May 07, 2025
Tweet

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
6.1k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
56
6.6k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.4k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
850
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.8k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
2.6k

Transcript

  1. 10分で「知る」ペンテストの世界

  2. 勝利条件:学生の8割がペンテストをイメージできる 敗北条件:上記の未達成...! 敗北時 :PentestSecJPの参加者にノベルティシールの配布

  3. 目次 1 ざっくりした...! ペネトレーションテストの分類 2 超ざっくりした...! ペネトレーションテストの実情 3 本当にざっくりした...! サイバー攻撃被害後の問題定義

    4 〆

  4. ざっくりした...! ペネトレーションテストの分類 1

  5. P-5 日本国内におけるペネトレーションテストの種類 IPベースペンテスト TLPT RedTeam ペンテスター 対象サーバ 攻撃OK 攻撃NG 社内NW他端末

    Red Team TTPベース 攻撃 社内NW全体 (シナリオ依存) Threat Intelligence Provider シナリオ 構築 脅威シナリオ 検知・隔離 Blue Team Red Team 攻撃 社内ネットワーク 検知・隔離 Blue Team ペンテスター スコープ 定義 担当者 社員端末 侵入 異常な アクティビティ TO TO

  6. P-6 ペネトレーションテスト導入における相互の「課題」はここ IPベースペンテスト TLPT RedTeam ペンテスター 対象サーバ 攻撃OK 攻撃NG 社内NW他端末

    Red Team 攻撃 対象システム Threat Intelligence Provider シナリオ 構築 脅威シナリオ 検知・隔離 Blue Team Red Team 攻撃 対象システム 検知・隔離 Blue Team ペンテスター スコープ 定義 担当者 社員端末 侵入 異常な アクティビティ

  7. P-7 攻撃者「起点」をベースとしてAttack Map概要図

  8. 超ざっくりした...! ペネトレーションテストの実情 2

  9. P-9 【理想】分離環境における外部通信制限の設計不備 実施目的 • インターネット通信を制限している環境などにおいて、マルウェアによる遠隔通信確立や内部不正などによる外部への情報持ち出しなどが実現しないか検証を 行いたい。 評価起点 • Web無害化ソリューションを導入した業務環境 •

    論理分離環境(※インターネット経由の処理を一部内部で行うような環境) シナリオ • 行員端末にマルウェアが感染したことなどを想定 ゴール 1. 外部への行員端末の情報を持ち出し 【ペネトレーションテスト実施イメージ】 インターネット上の ウェブサイト 行員端末 インターネット 接続 行員端末からファイルのアップロードなどを実施 評価起点 Web無害化ソリューション(単純に言えばProxy) 有効性検証 攻撃者 不正な情報持ち出しや遠隔通信の確立 理想で言えば、この製品で良い感じ制限されている ここが崩れると「安全神話が崩壊」する

  10. P-10 【現実】分離環境における外部通信制限の設計不備 評価起点 • Web無害化ソリューションを導入した業務環境 • 論理分離環境(※インターネット経由の処理を一部内部で行うような環境) シナリオ • 行員端末にマルウェアが感染したことなどを想定

    ゴール 1. 外部への行員端末の情報を持ち出し 【ペネトレーションテスト実施イメージ】 インターネット上の ウェブサイト 行員端末 行員端末からファイルのアップロードなどを実施 評価起点 Web無害化ソリューション(単純に言えばProxy) 有効性検証 攻撃者 不正な情報持ち出しや遠隔通信の確立 ケース1 Web無害化ソリューション自体の設定不備 - 端末内の任意のアプリケーションがHTTPS通信できるような設定不備 - 通信先CDNの設定不備(例:*.cloudfront.netへ通信可能) ケース2 Web無害化ソリューション自体の設計不備 - Web無害化ソリューションを攻撃者側も契約した場合に宛先を攻撃者側にした場合の問題 ケース2 インターネット 接続 {攻撃者}.Web分離製品.com/policy.pac ※Proxy設定の変更やProxy指定のExe 自社.Web分離製品.com/policy.pac 情報持ち出し経路 実施目的 • インターネット通信を制限している環境などにおいて、マルウェアによる遠隔通信確立や内部不正などによる外部への情報持ち出しなどが実現しないか検証を 行いたい。

  11. P-11 【理想】オンプレ系OA環境侵害に関する攻撃シナリオ例 【ペネトレーションテスト実施イメージ】 攻撃者 遠隔通信確立 Blue Team (貴社SOC) 監視 評価起点

    • 社員想定の端末に疑似マルウェアを添付したメール送付し、端末上で疑似 マルウェアを実行し感染を模した状態を評価の起点とします。 シナリオ • 社員端末にマルウェアが感染したことを想定 ゴール 1. Active Directoryのドメイン管理者権限の奪取 2. ファイルサーバから機微な情報の奪取 社員端末 (マルウェア感染想定) マルウェアダウンロードサイト 評価起点 マルウェアダウンロード 社内ネットワーク (Active Directory) 探索 横展開 管理者サーバ 権限奪取 管理者アカウント (ドメイン管理者) ファイルサーバ 情報奪取 インターネット情報の公開情報 調査 想定攻撃 実施目的 • 社員がフィッシングメールなどを起点にマルウェアを実行した場合、遠隔通信の確立が発生するかどうかについて検証を行う。さらに、遠隔通信が確立された後、 社内ネットワークにおいてどの程度の深さまで侵入が可能かを評価する。 具体的には、ファイルサーバから機微な情報を持ち出し、その後暗号化を行うことができるかどうかを確認する。

  12. P-12 【現実】オンプレ系OA環境侵害に関する攻撃シナリオ例 攻撃者 遠隔通信確立 Blue Team (貴社SOC) 監視 評価起点 •

    社員想定の端末に疑似マルウェアを添付したメール送付し、端末上で疑似 マルウェアを実行し感染を模した状態を評価の起点とします。 シナリオ • 社員端末にマルウェアが感染したことを想定 ゴール 1. Active Directoryのドメイン管理者権限の奪取 2. ファイルサーバから機微な情報の奪取 社員端末 (マルウェア感染想定) マルウェアダウンロードサイト 評価起点 マルウェアダウンロード 社内ネットワーク (Active Directory小ドメイン) 有効な攻撃経路なし! ドメイン管理者奪取 管理者アカウント (ドメイン管理者) ファイルサーバ 情報奪取・暗号化 攻撃 社内ネットワーク (Active Directory親ドメイン) 親から子へ 「Enterprise Admins」 グループの悪用など 【ペネトレーションテスト実施イメージ】 実施目的 • 社員がフィッシングメールなどを起点にマルウェアを実行した場合、遠隔通信の確立が発生するかどうかについて検証を行う。さらに、遠隔通信が確立された後、 社内ネットワークにおいてどの程度の深さまで侵入が可能かを評価する。 具体的には、ファイルサーバから機微な情報を持ち出し、その後暗号化を行うことができるかどうかを確認する。 Why 親会社が監査ベースのペネトレーションテストを実施していて、子会社がシナリオベース(TLPT/RedTeam)をやっている場合に頻出する

  13. 本当にざっくりした...! サイバー攻撃被害後の問題定義 3

  14. P-14 二重脅迫でリークデータ公開された場合の将来的リスク 問題定義 • 端末などがサイバー攻撃者に侵害され、ダークウェブに情報がリークされた場合にリークされた情報をべースにどのような二次被害が適切に想定できている企業など は少ないイメージがあります。 • 近年リークデータへのアクセスがセキュリティエンジニア以外も行いパブリックになるケースがありましたが、これは二次的なサイバー攻撃発生リスクの高まりも示 していると思われます。 •

    とくに通常非開示の製品ソースコードが漏洩して、それがDMZなどに配置されるプロダクトの場合の深刻度などは国内であまり議論されていない認識です。 ※一時期Cl0pとかのランサムウェアグループで流行っていた攻撃手法 リーク情報の分析 攻撃者 調査 インターネット経由 評価起点 インターネット情報の公開情報(ダークウェブ含む) 【リスクイメージ】 リーク情報 1. Webブラウザのアクセス履歴や保存されたログイン情報 2. 契約関係上管理している顧客のサーバ認証情報 3. 自社製品のソースコードや設計資料および管理者アカウント情報 二次被害:Proxy侵入 Proxyサーバ アクセス元制限された 管理者サーバへ侵入 管理者サーバ 二次被害:顧客サーバへ侵入 顧客環境 パスワード変更不備 パスワード変更不備

  15. P-15 サイバーインシデント事後対応内容の不足 問題定義 • 境界線防御から多層防御の考え方になった一方で、EDR安全神話の前提が圧倒的多数だと思います。 人は言う...「異常アクテビティ発見して即隔離すれば良いんでしょ、後は社内手順に沿って対応よ!」 「検知・対応」..、設計に依存しますが対応プロセスにおける攻撃者の遮断フェーズが充足しているか振り返って見ましょう。 【リスクイメージ】 メール Spearphishing

    (マルウェア感染による遠隔操作) 社員端末 フィッシング 攻撃者 遠隔通信サーバ 遠隔通信の成立 シングルサインオン (アイデンティティ管理製品など) Blue Team (貴社SOC) 監視 「異常なアクティビティ(探索活動)」を検知・隔離 社内ネットワーク ここの有効セッションの無効化の有効性確認行ってますか?

  16. 〆 4

  17. P-17 圧倒的主観で語る企業で共通してそうなリスク 1 2 3 認証情報に関する脆弱性 Active Directory親子関係に関する問題 M365条件付きアクセスポリシーに関する問題

  18. END